BlackHalo logo
Published on

GitHub匿名用户一次性公开20多个未修复0-day漏洞,安全社区炸锅

Authors
  • Name
    binyu
    github.com
GitHub仓库exploitarium的界面截图,显示多个漏洞PoC的文件夹列表
头图来源: Picsum

事件概述

2026年6月下旬,GitHub匿名用户“bikini”创建仓库“exploitarium”,一次性上传超过20个未公开0-day漏洞的PoC(概念验证代码)。仓库迅速获得3700星和1100次Fork,在安全社区引发震动。作者在README中声称,这些漏洞在发布时均未向厂商报告,并鼓励他人自行申请CVE,同时强调此举是为了吸引更多人进入安全领域。

仓库内容概览

仓库包含多个独立文件夹,每个对应一个漏洞的PoC,覆盖软件范围广泛。这些漏洞具体包括:

  • 7zip:RAR5 MotW链式利用
  • AnyDesk:打印机COM模拟
  • c-ares:TCP UAF计算器PoC
  • Docker:cp命令逃逸
  • FFmpeg:RASC DLTA计算器PoC
  • Firefox:SmartWindow私有URL泄露
  • Floci API Gateway:VTL RCE
  • Flowise MCP:环境变量大小写绕过
  • Ghidra 12.1.2:RCE/ACE
  • Gitea:Act Runner容器选项
  • ImageMagick:Ghostscript委托劫持
  • libssh2:CVE-2026-55200及公钥列表UAF
  • Lunar Client:Modrinth链式利用
  • MyBB:受限ACP提权至管理员
  • nghttp2:nghttpx升级队列投毒
  • Nmap:IPv6扩展长度整数回绕
  • objdump:DLX计算器PoC
  • OpenVPN Connect:Echo脚本ACE
  • PHP 8.5.7:StreamBucket SOAP RCE
  • RustDesk:会话权限绕过
  • SystemInformer:phsvc可信主机LPE
  • VLC:VP9分辨率变化崩溃

每个文件夹包含完整PoC代码和README说明。作者指出部分漏洞(如Ghidra)质量一般,而Floci、libssh2、FFmpeg、c-ares等属于严重漏洞。

作者背景与动机

README中作者透露自己并非“烧token的小孩”,而是拥有相关学位并发表过多篇fuzzing方法论文。他使用GPT-5.5-3-Codex-Spark进行所有fuzzing工作,但强调AI只是辅助,PoC代码由手动编写(RustDesk部分使用AI辅助)。作者称花费多年研究fuzzing工具和方法,认为人类监督和高效测试框架比先进模型更重要。README文件完全由AI生成,因为AI能写出漂亮的Markdown。

漏洞披露伦理争议

该仓库的发布方式引发激烈讨论。传统漏洞披露遵循“负责任披露”原则:先通知厂商,给予修复时间,再公开细节。而作者选择一次性公开所有未报告漏洞,并鼓励他人自行申请CVE,相当于将利用代码直接交予公众。

支持者认为,这种“全公开”方式能倒逼厂商重视安全,同时为安全研究者提供学习素材。反对者担忧,恶意行为者可能利用PoC发动攻击,尤其是针对尚未修复的0-day。作者虽在README中警告“不得恶意使用”,但缺乏法律约束力。

技术细节与影响

仓库中包含多个严重漏洞的详细代码:

  • libssh2 CVE-2026-55200:作者直接给出CVE编号,可能已分配。libssh2广泛用于Linux发行版和嵌入式设备。
  • Docker cp逃逸:利用docker cp目标路径检查缺陷实现容器逃逸,影响多个Docker版本。
  • Firefox SmartWindow隐私泄露:通过SmartWindow在隐私浏览模式泄露URL,破坏隐私承诺。
  • OpenVPN Connect ACE:利用Echo脚本实现任意代码执行,影响客户端。

这些漏洞覆盖系统工具到开发框架,一旦被恶意利用后果严重。

社区反应与后续

Hacker News上相关讨论获得695分和277条评论。许多安全研究员质疑作者动机,也有人称赞技术能力。部分人指出作者可能已通过其他渠道报告了部分漏洞,但仓库声明“none have been reported”可能不准确。

截至发稿,GitHub尚未对该仓库采取行动。根据GitHub政策,公开PoC本身不违规,若用于攻击或违反DMCA可能被移除。

总结

“exploitarium”仓库是安全社区的一次极端实验:将大量未公开0-day以“学习资源”形式一次性释放。它展示了现代fuzzing技术(尤其是AI辅助)的强大能力,也再次引发关于漏洞披露伦理的深层讨论。对于普通用户,建议关注受影响软件的安全更新并评估自身暴露面。对于安全从业者,这是难得的学习样本,但需在法律和道德框架内使用。

原标题:Anonymous GitHub account mass-dropping undisclosed 0-days。 HN 原始发布时间:2026年6月27日星期六。当前记录为 695 分、277 条评论。

阅读原文 · 查看 HN 讨论